梆梆资讯
人脸识别绕过安全解决方案
2020-11-11
人脸识别香不香?
香!真香!不得不承认这一事实——当下,人们正享受着人脸识别给工作和生活带来的便利。人脸识别技术作为人工智能与大数据技术发展的产物,近年来,随着人脸识别技术研发的突破,已经被广泛应用于政务服务、金融交易、单位考勤、门禁系统之中。“人脸解锁”、“刷脸支付”、“刷脸进出”已经是日常生活的常态。人脸识别技术作为生物识别的一种,最大的优点就是方便,所以普及起来非常快。智能门锁、手机解锁、移动支付可以免去我们输密码的麻烦;公司、商场、机场、学校中,人脸识别技术可以提高管理效率,提升用户体验。人脸识别技术极大地方便了人们的生活,“刷脸”变得一路畅通,可以说这是一个“刷脸时代”。
人脸识别可靠吗?
隐患很大!人脸识别技术作为一种生物识别技术,存在容易被破解(绕过)的安全隐患。人脸识别刚出现时,拍张照片打印出来就可能实现破解;现在很多软件会要求用户眨一下眼,点一下头,但其实同样可能被破解;即便是加入了生物特征识别技术也并非万无一失。通过对已经发生的摄像头绕过安全事件分析,可以发现一些共性问题:
隐患一:代码不安全,易被破解
很多开发运营者因为自身技术能力和资源有限,图省事、压缩成本,直接采用第三方提供的人脸识别验证技术服务,缺乏安全性考虑。一旦选用的人脸识别产品未做HTTPS、应用层报文未加密、代码未做保护,这就给了攻击者可乘之机,黑客可以轻松抓包、篡改、重放用户信息实现摄像头绕过。
隐患二:风险应用和终端攻击
如果不重视移动端应用和设备环境的安全监测,攻击者可以通过ROOT/越狱设备、安装攻击框架、虚拟摄像头应用、HOOK摄像头关键函数、篡改原生摄像头程序等手段,仅需要一张静态人像照片即可生成3D头像、动画来欺骗和绕过所谓高明的活体检测技术。
隐患三:业务逻辑漏洞
盲目跟风上线人脸识别技术,因为缺乏论证和充分测试导致业务设计存在缺陷和漏洞,或者是为了讨好用户,太多照顾用户的使用便利而忽视了安全性。这些失误一旦被黑产团伙发现,即便时间很短按也造成巨大损失。
隐患四:人脸数据泄露
人脸识别的方式是先收集人脸数据,然后来匹配验证的,所以人脸识别机构其实早已经搜集了很多面部特征、原始图片以及照片,这些都会保留在其服务器上。机构在处理及存储人脸数据时,如果缺乏数据安全保护机制,很容易被拖库导致数据批量泄露,造成个人隐私信息侵权事件发生。
还用人脸识别吗?
用!得用!人脸识别技术的安全隐患显而易见,但是技术是中立的,有立场的是使用技术的人。人脸识别技术有效解决了电子支付、网络交易、网络申请公共服务等线上远程交易中的身份安全认证问题,这大大提高了社会发展进步速度,给人们的生活带来便利和实惠。如何让人脸识别更安全可靠,梆梆安全提出以下几项解决方案:
一、应用代码保护
梆梆安全拥有业内领先的Android应用加固技术和国内独家实现Swift源到源的IOS应用保护技术,同时还支持H5加固。加固后的应用具备防逆向、防破解、防HOOK等能力,有效保护了代码的安全,避免遭受黑客破解。
二、运行时攻击监测
梆梆安全移动威胁感知平台能够监测到应用运行过程中的设备环境风险:如原生摄像头程序被篡改、系统Root、越狱、攻击框架软件、高风险应用、高风险进程、本地敏感配置项打开等;实时预警各类威胁攻击:如摄像头函数HOOK、应用破解、模拟器、多开器、修改器、设备重用、位置欺诈、域名欺诈、注入攻击、程序外挂、调试行为、系统加速等以此发现和追踪攻击者动向,避免遭受攻击。同时,移动威胁感知平台支持配置封禁策略,根据监测到的威胁情报对攻击、设备、账号、IP、WIFI等进行阻断防御,实现对人脸识别绕过攻击的监测、告警和处置的闭环风控,确保移动端业务安全稳定。
三、人脸业务逻辑安全测试
梆梆安全提供渗透测试和安全咨询服务,针对客户的业务系统、业务需求、业务目标进行威胁建模与攻击,标识出目标业务或系统上存在的安全漏洞与弱点,探测出造成业务影响后果的攻击途径。帮助客户分析业务安全体系中的薄弱环节和问题,提出修补与升级技术方案。
四、隐私数据安全
人脸作为个人隐私数据的重要组成部分,数据安全在企业安全中扮演重要的地位。梆梆安全能够为客户提供企业数据治理安全咨询服务,帮助客户梳理人脸场景下数据的采集、传输、存储、使用的安全风险,并提供相应的数据治理咨询解决方案。通过隐私合规咨询,为客户规避人脸使用的隐私合规问题。
总的来看,人脸识别技术是真的很香,安全隐患同样不可小觑。莫慌,莫慌“刷脸时代”,梆梆安全护您“刷脸”安全。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1